原创 常見網絡攻擊手段原理分析
常見網絡攻擊手段原理分析 1.1 TCP SYN拒絕服務攻擊 一般情況下,一個TCP連接的建立需要經過三次握手的過程,即:1、 建立發起者向目標計算機發送一個TCP SYN報文;2、 目標計算機收到這個SYN報文後,在內存中創
2018-09-01 22:08:14
1
原创 mysql手工注入流程整理
MySQL手工注入的基本步驟以及一些技巧的記錄,當出現學習手工注入的時候,網上的文章參差不齊,導致很長一段時間對手工注入的理解一直處於一知半解的狀態,特此記錄本文,讓小白們少走些彎路。本文只針對手工注入小白,大牛繞過輕噴。步驟註釋或者閉合
2018-09-01 22:08:14
原创 http 數據包
一、訪問網站發送的數據包 二、發送HTTP請求 通過連接,客戶端寫一個ASCII文本請求行,後跟0或多個HTTP頭標,一個空行和實現請求的任意數據。 一個請求由四個部分組成:請求行、請求頭標、空行和請求數據 1.請求行:請求行由
2018-09-01 22:08:14
3
原创 DNS攻擊
一 什麼是DNSDNS 是域名系統 (Domain Name System) 的縮寫,是因特網的一項核心服務,它作爲可以將域名和IP地址相互映射的一個分佈式數據庫,能夠使人更方便的訪問互聯網,而不用去記住能夠被機器直接讀取的IP數串。D
2018-09-01 22:08:14
原创 區塊鏈
區塊鏈(內容來源於網絡及自身理解)筆者初次接觸的“區塊鏈”應該是比特幣吧,所以在開頭想說一點,比特幣是區塊鏈,但是區塊鏈並不是比特幣。 區塊鏈技術原理我儘量不涉及太多細節,把區塊鏈大概的工作原理用儘可能簡單的語言描述一下,相信你能很快對區
2018-09-01 22:08:14
原创 滲透測試流程
1)信息收集 a. 服務器的相關信息(真實ip,系統類型,版本,開放端口,WAF等) b. 網站指紋識別(包括,cms,cdn,證書等),dns記錄 c. whois信息,姓
2018-09-01 22:08:14
3
原创 目標
來軟院一年了,初心沒變還是想做安全,記得剛來的時候諮詢學長該怎麼做安全?學長就回復學習曲線很陡 很多做安全的最後都去做開發了。告訴我可以先刷題看看linux內核之類的,也是會嚇到我。不過自己當時覺得本科就是學信安的最後不做信安也挺丟人了。
2018-09-01 22:08:13
原创 軟件工程(C編碼實踐篇)學習總結
時間飛逝,不知不覺間《高級軟件工程》的學習完了。在這將近半學期的學習中,雖然我不能說我將《高級軟件工程》學習的有多麼的好,但是通過學習,我還是受益良多。 在以前,我一直對軟件存在一些偏見或則是誤解,認爲軟件就是程序,軟件的開發就是編寫程序
2018-09-01 22:08:13
原创 PHP大法好(CTF)
題目鏈接:http://ctf5.shiyanbar.com/DUTCTF/index.php 打開後獲得如下頁面;是一些小提示;直接看最後,訪問index.php.txt 首先id匹配“hackerDJ”如果匹配則不允許訪問;之後對
2018-09-01 22:08:13
1
原创 程序邏輯問題(CTF)
題目鏈接:http://ctf5.shiyanbar.com/web/5/index.php 有提示是繞過,打開題目,可以看到是個登陸問題,嘗試抓包修改source值沒什麼效果 於是嘗試查看源代碼發現index.txt鏈接,打開發
2018-09-01 22:08:13
原创 認證與會話管理
認證的目的是爲了認出用戶是誰,而授權的目的是爲了決定用戶能做什麼密碼是認證的常見方式,一般廠家會建一個弱字典表進行判斷密碼強弱;之後用戶輸入的密碼進行加密存入數據庫這樣數據庫被爆也能很好防範。通常加密使用的方法是MD5(username+
2018-09-01 22:08:13